A rendelők döntő többségében a korábbi papíros kartonozás helyett már eljött a digitalizáció kora, és áttértek valamelyik betegirányítási rendszer használatára – a kínálat széles, a GDPR-felkészülés nem egyértelmű. 

Tucatnál is több szoftverrel találkoztunk a privát egészségügyi intézmények GDPR-felkészítése során, egy-két igen együttműködő, előzékeny cégtől eltekintve nem voltak jó a tapasztalataink – summázza Lengyel Lívia, a Praxisakadémia adatvédelmi szakértője.

Mit kell tisztázni a GDPR-felkészülés részeként a betegirányítási szoftver kapcsán?

A két legfontosabb kérdés a tárolás és a hozzáférhetőség. Azaz, a szoftverbe kerülő betegadatok hol tárolódnak, a rendelőben egy szerveren, vagy például felhő alapon, illetve a szoftverfejlesztői-üzemeltetői munkatársai hol és hogyan férnek hozzá az adatokhoz. Ezeket az alapparamétereket az adatfeldolgozói nyilatkozatban szükséges dokumentálni. Ebbe a kérdéskörbe tartozik még a biztonsági és vírusvédelem, valamint a biztonsági mentések.

Kritikus pontok,
ami visszatérő kockázati tényező az adatvédelmi hatásvizsgálatok során:

  • Minden felhasználó csak saját névvel és saját jelszóval jelentkezik be a programba.
  • Az adatok hozzáférése jogosultsági szintek szerint szabályozott – például egy közreműködő orvos nem fér hozzá automatikusan minden adathoz, minden pácienssel kapcsolatban, ahogy optimális esetben a recepciós munkatárs csak a bejelentkezéshez és számlakészítéshez szükséges adatokat látja, az anamnézist vagy ambuláns lapot nem.
  • A szoftverben elvégzett felhasználói aktivitások naplózottak – vagyis nyoma van, visszakövethető, akár egy adatvédelmi incidens során.
  • A szoftverből az adatok letöltése korlátozott, a legmagasabb adminisztrátori szinthez rendelt – az adatmentés nem lehetséges például egy bérlőnek, közreműködőnek, vagy akár a recepciósnak.

Kifejezetten GDPR-vonatkozások:

  • A jogi kötelezettség alapján kezelt egészségügyi és számlázási adatok nem törölhetőek, vagy korlátozhatóak.
  • A nem jogi kötelezettség alapján kezelt személyes adatok a páciens kérésére törölhetőek.
  • Hozzájárulás jogalapon kezelt adatok (hírlevél-feliratkozás, fotódokumentáció online publikációja, betegelégedettség közzététele) kezelését érintett visszavonhatja, a betegirányítási szoftver alkalmas ennek kezelésére.
  • A páciens adatainak tárolása célonként történik.
  • A páciens kérésére a kezelt adatok a szoftverből hozzáférhetők digitális formában, a GDPR-rendelet szerinti határidőn belül, külön fejlesztés nélkül.

A szoftvert biztosító céggel részletes, a fentieket mind tartalmazó adatfeldolgozói nyilatkozatot írunk alá, hogy a vállalásokat és felelősségeket rögzítsük.

Egészségügyre szakosodott, teljeskörű GDPR-felkészítés • Adatvédelmi, adatkezelési konzultáció
• Adatvédelmi tisztviselő biztosítása

Keresse munkatársainkat!